Kraken은 인기 있는 서비스와 마찬가지로 사기꾼의 표적이 되는 고객을 보유하고 있습니다. 시도 @kraken.com 이메일 주소에서 피싱 이메일을 보내려면 이러한 형태의 스푸핑 이메일은 Gmail과 같은 메일 제공업체에서 거부해야 하므로 서버가 사기꾼의 메일이 Kraken에서 온 것이 아님을 인지하므로 절대 볼 수 없습니다. 배후에서 수신 메일 서버는 공통 DNS 레코드를 조회하여 이메일이 올바른 위치(예: SPF, DKIM, DMARC 레코드)에서 오는지 확인해야 합니다.
Kraken Security Labs는 "신뢰하되 확인"을 믿으며 정기적으로 Kraken의 이메일 보안 제어 효과를 테스트합니다. 이러한 테스트 중 하나에서 우리는 여러 메일 제공업체가 간단한 검사를 수행하지 않아 해당 사용자(및 잠재적으로 당사 고객)를 피싱의 위험에 빠뜨리고 있음을 발견했습니다. 특히 yahoo.com 및 aol.com 사용자는 이메일이 배달될 위험이 있었습니다. 다음과 같이 인기 있는 장소의 존재하지 않는 하위 도메인에서 받은편지함으로 admin@verylegitemails.verizon.com.
Kraken Security Labs는 8년 2020월 XNUMX일 Verizon Media(aol.com 및 yahoo.com 소유)에 이 문제를 보고했습니다. 불행히도 이 문제는 낮은 심각도로 분류되었으며 낮은 영향으로 인해 제출이 마감되었습니다. 그러나 그 이후로 두 이메일 시스템 모두에 대한 개선 사항이 구현되어 아래에 설명된 문제 중 일부를 수정한 것 같습니다.
당신은 항상 자신을 보호할 수 있습니다 피싱 사기 조심. 또한 현재 aol.com 또는 yahoo.com을 사용 중인 경우 이메일 서비스를 gmail.com 또는 protonmail.com으로 전환하는 것을 고려해야 합니다. 자체 도메인을 운영하는 경우 사기범이 도메인을 사용할 수 없도록 DMARC, SPF 및 DKIM 레코드가 최신 상태인지 확인하십시오.
At 크라켄 보안 연구소, 우리의 임무는 교육하다 와 능력을 키우다 자산을 보호하고 적절하다고 판단되는 자금을 안전하게 활용하는 데 필요한 지식을 갖춘 암호화폐 보유자. 이 문서에서는 이 이메일 스푸핑 기술, 도메인을 보호하는 방법 및 보안을 보장하기 위해 취할 수 있는 조치에 대한 자세한 기술 정보를 배웁니다.
기술적 세부 사항
스푸핑은 불과 XNUMX년 전만 해도 만연한 공격 형태였습니다. 이메일 서버에는 발신자를 확인할 효과적인 방법이 없었습니다. 스푸핑된 발신자가 있는 메일은 많은 사용자가 이 필드가 위조될 수 있다는 것을 인식하지 못하기 때문에 성공률이 더 높습니다. 인식할 수 있는 도메인(예: mail@kraken.com)의 메시지는 특히 다음과 같은 익숙하지 않은 주소와 비교할 때 권위와 보안의 환상을 만들 수 있습니다. 메일@예제-이상한-도메인.xyz. 고맙게도 오늘날 대부분의 메일 제공업체는 스푸핑에 대해 상당한 통제권을 가지고 있습니다. DMARC와 같은 표준에는 스푸핑을 훨씬 더 어렵게 만드는 공식화된 기술이 있습니다.
메일 보안
이메일 보안은 여기에서 다룰 것보다 더 복잡하지만 스푸핑을 방지하기 위한 현재 모범 사례는 SPF, DMARC 및 DKIM 레코드를 중심으로 합니다. 메일 서버는 메일을 수신하면 메일 도메인에 대한 몇 가지 DNS 조회를 수행하여 이러한 레코드를 확인합니다.
각 이메일 서버는 이러한 검사를 다르게 처리합니다. 예를 들어 Gmail은 SPF 검사에 실패한 모든 메일에 사용자에게 주의를 촉구하는 무서운 경고 배너로 태그를 지정하고(기술적으로 메일 서버에서 이러한 메시지를 수락해서는 안 됨) DMARC 검사에 실패한 모든 이메일에는 "거부" 정책은 전혀 수락되지 않습니다.
다른 메일 공급자는 각각 고유한 알고리즘이 있는 매우 다른 절차를 가질 수 있습니다. 예를 들어 일부 공급자는 이메일을 완전히 차단하고, 다른 공급자는 "정크" 받은 편지함으로 보내고, 다른 공급자는 경고가 포함된 받은 편지함 전자 메일을 보냅니다.
무료 메일 제공자 실험
서로 다른 공급자 간의 일관되지 않은 시행이 우려되므로 몇 가지 추가 테스트를 수행했습니다. 우리는 잠긴 도메인에 대한 스푸핑된 이메일을 최고의 무료 이메일 제공업체에 보내려고 시도했고 그들의 행동을 추적했습니다.
시험 1 – 스푸핑 admin@kraken.com (보안 기반 도메인)
유효한 hardfail SPF 레코드, 유효한 DMARC 레코드 및 DKIM 선택기가 구성된 도메인에서 스푸핑된 이메일을 보냈습니다.
기대: 메일은 허용된 IP 주소가 아니며 DKIM 서명이 없기 때문에 거부됩니다.
정크나 스팸으로 메시지를 보내는 것은 이론적으로 사용자가 실수라고 가정할 경우 여전히 속일 수 있음을 의미하지만 여기서 큰 놀라움은 없습니다.
시험 2 – 스푸핑 admin@fakedomain.kraken.com (존재하지 않는 하위 도메인)
존재하지 않는 하위 도메인 도메인에서 스푸핑된 이메일을 보냈습니다. 이 호스트 이름에 대한 어떤 종류의 레코드도 없습니다.
기대: 호스트 이름이 존재하지 않거나 레코드가 없기 때문에 메일이 거부됩니다(A 레코드, SPF 또는 DKIM 레코드 없음). 또한 DMARC 정책을 "거부"로 설정하여 SPF/DKIM에서 인증할 수 없는 이메일은 모두 거부해야 합니다.
놀랍게도 Yahoo.com과 AOL.com 메일 서버는 이 명백한 스푸핑 메시지를 받아 피해자의 받은 편지함에 넣었습니다. 이는 공격자가 메일을 수락하고 이러한 플랫폼의 사용자에게 합법적으로 보이도록 하위 도메인을 포함하기만 하면 되기 때문에 특히 우려됩니다(예: admin@emails.chase.com).
AOL.com과 Yahoo.com은 당시 Verizon Media의 소유였으므로 이 문제를 8년 2020월 XNUMX일에 보고했습니다. Verizon Media는 이 문제를 범위를 벗어난 비공식적인 것으로 종료했습니다. Kraken Security Labs는 AOL 및 Yahoo 사용자를 피싱으로부터 보호하는 것의 중요성을 재차 강조했지만 이러한 문제를 해결하기 위한 추가 커뮤니케이션은 제공되지 않았습니다.
그 이후로 개선 사항이 구현된 것 같습니다. 이제 DMARC 정책에 따라 이메일이 거부되고 더 나은 속도 제한이 구현된 것 같습니다.
이메일을 인증할 수 없을 때(DMARC/DKIM/SPF가 전혀 사용되지 않는 경우와 같이) 다른 공급업체가 사용자에게 훨씬 더 나은 경고를 제공하기 때문에 Yahoo 및 Verizon 이메일 사용자가 더 높은 위험에 처해 있다고 우리는 여전히 주장합니다.
테이크 아웃
도메인 소유자의 최선의 노력에도 불구하고 이메일 공급자가 항상 예상대로 이메일을 필터링하는 것은 아닙니다. @yahoo.com 및 @aol.com 이메일 주소를 가진 사용자는 이러한 제공자가 이러한 메시지를 쉽게 감지하고 필터링할 수 있음에도 불구하고 스푸핑된 메시지를 수신할 위험이 더 높았습니다. 동작이 개선되었지만 여전히 민감도가 높은 이메일을 Gmail 또는 Protonmail과 같이 더 나은 필터링을 제공하는 제공업체로 전환하는 것이 좋습니다.
이메일 서버를 실행하는 경우 DMARC, DKIM 및 SPF에 대한 이메일 DNS 레코드가 항상 최신 상태인지 확인하고 이메일 제어가 작동하는지 정기적으로 확인하십시오.
출처: https://blog.kraken.com/post/10480/email-spoofing-is-not-a-thing-of-the-past/
